CrashStealer là một mã độc tống tiền (infostealer) gốc C++ dành cho macOS, hoạt động dưới vỏ bọc tiện ích báo cáo sự cố tích hợp của Apple. Mục tiêu của nó là thu thập thông tin đăng nhập trình duyệt, ví tiền mã hóa, dữ liệu quản lý mật khẩu và nội dung keychain. Sau đó, toàn bộ dữ liệu này được mã hóa và gửi đến một máy chủ điều khiển và chỉ huy (C2) từ xa.
Phân tích Chi tiết về CrashStealer
Sự Phát hiện và Theo dõi
Jamf lần đầu tiên phát hiện một mẫu đáng ngờ trên VirusTotal vào đầu tháng 5 năm 2026. Mẫu này có vẻ là một infostealer đang trong quá trình phát triển. Đến đầu tháng 7, các phát hiện trong thực tế đã xác nhận mã độc đã phát triển và được triển khai tích cực, thúc đẩy các nhà nghiên cứu chính thức theo dõi nó với tên gọi CrashStealer. Sự phát triển nhanh chóng này cho thấy một xu hướng gia tăng về mức độ tinh vi của các mối đe dọa nhắm vào macOS.
Kiến trúc Kỹ thuật và Khác biệt
Không giống các infostealer macOS thông thường được xây dựng trên các bộ nạp AppleScript hoặc các trình bao Objective-C mỏng, CrashStealer được viết hoàn toàn bằng C++ gốc. Mã nguồn của nó xoay quanh một lớp nội bộ có tên là MacOSData. Điều này đặt nó tách biệt với các họ mã độc tương tự như Atomic (AMOS), MacSync và Phexia, mặc dù có mục tiêu hoạt động chồng chéo.
Phương thức Xâm nhập Ban đầu
Giai đoạn truy cập ban đầu bắt đầu bằng một đĩa ảnh có tên “Werkbit Setup”. Đĩa ảnh này chứa một gói ứng dụng được ký bằng Developer ID hợp pháp và một vé chứng thực đã được đóng dấu (stapled notarization ticket). Điều này cho phép nó vượt qua cơ chế Gatekeeper của macOS ngay trong lần khởi chạy đầu tiên. Một điểm đáng chú ý là bản thân container đĩa ảnh cũng được ký, một kỹ thuật hiếm gặp trong các chiến dịch DMG độc hại.
Kích hoạt và Tải Mã độc
Sau khi người dùng mở đĩa ảnh, bộ nạp (dropper) sẽ âm thầm truy xuất một tập lệnh shell đã bị làm rối (obfuscated shell script) từ cơ sở hạ tầng lưu trữ trên GitHub. Tập lệnh này giải mã nhiều lớp lệnh được mã hóa Base64 và tải về payload chính, được ngụy trang dưới dạng “CrashReporter.app”. Ứng dụng này sử dụng bộ định danh gói quen thuộc của Apple là com.apple.crashreporter và biểu tượng tương ứng để tăng cường khả năng đánh lừa người dùng.
Thu thập Dữ liệu và Phạm vi Tác động
Khi hoạt động, CrashStealer trước tiên xác thực mật khẩu đăng nhập của nạn nhân cục bộ bằng lệnh dscl, sau đó mở khóa keychain và lập hồ sơ các công cụ bảo mật đã cài đặt. Sau các bước chuẩn bị này, quá trình thu thập dữ liệu bắt đầu. Phạm vi thu thập của nó rất rộng, bao gồm:
- Thông tin đăng nhập trình duyệt (ví dụ: Chrome, Firefox, Brave, Edge).
- Dữ liệu từ các trình quản lý mật khẩu phổ biến như 1Password, Chrome Password Manager, Dashlane, KeePassXC và Pocket.
- Thông tin từ các ví tiền mã hóa bao gồm Exodus, Electrum, Daedalus và Jaxx.
- Nội dung keychain của macOS.
Mức độ bao phủ rộng này phản ánh các mẫu chung trong cảnh quan infostealer macOS hiện đại, nơi việc đánh cắp thông tin đăng nhập tập trung vào tiền mã hóa ngày càng trở nên phổ biến.
Mã hóa và Exfiltration Dữ liệu
Điểm khác biệt kỹ thuật của CrashStealer nằm ở việc sử dụng mã hóa AES-256-GCM phía máy khách thông qua khuôn khổ CommonCrypto của Apple. Dữ liệu được thu thập sẽ được mã hóa trước khi đóng gói thành các tệp ZIP và gửi đi qua thư viện libcurl. Mức độ bảo mật hoạt động này ít phổ biến ở các infostealer dựa trên AppleScript thông thường.
Các Biện pháp Chống Phân tích
Cách tiếp cận ưu tiên mã hóa, kết hợp với các biện pháp chống phân tích như làm phẳng luồng điều khiển (control-flow flattening) và các kiểm tra chống gỡ lỗi theo lớp, cho thấy sự chuyên nghiệp hóa trong kỹ thuật của các họ mã độc macOS. Xu hướng này đã được các nhà nghiên cứu trong ngành ghi nhận, khi các mối đe dọa macOS ngày càng phát triển từ các tập lệnh cơ hội thành các hoạt động có cấu trúc, mang tính kinh doanh.
Duy trì Sự Hiện diện (Persistence)
Để duy trì sự hiện diện trên hệ thống, CrashStealer tự sao chép và ký lại một cách tùy chỉnh (ad hoc). Sau đó, nó cài đặt một LaunchAgent với tên gọi com.apple.crashreporter.helper để đảm bảo mã độc có thể tồn tại sau các lần khởi động lại, tiếp tục chủ đề giả mạo Apple vào lớp duy trì của nó.
Cơ sở Hạ tầng và Hoạt động Liên quan
Jamf cũng liên kết chiến dịch này với một bảng điều khiển điều hành trực tiếp (live operator panel) và các tên miền cơ sở hạ tầng bổ sung. Điều này cho thấy CrashStealer có thể là một phần của một hoạt động lớn hơn, đa nền tảng, chứ không phải là một công cụ đơn lẻ. Việc phát hiện này bổ sung vào khối lượng nghiên cứu ngày càng tăng, cho thấy các infostealer macOS đang nhanh chóng thu hẹp khoảng cách về mức độ tinh vi so với các đối tác trên Windows. Khối lượng phát hiện và độ phức tạp kỹ thuật đều tăng mạnh trong giai đoạn 2025 và đầu năm 2026.
Các Chỉ số Xâm nhập (IOCs)
Dựa trên các phân tích, các chỉ số xâm nhập sau đây đã được xác định:
- Tên tập tin độc hại: CrashReporter.app
- Bộ định danh gói: com.apple.crashreporter
- Tên LaunchAgent: com.apple.crashreporter.helper
- Đĩa ảnh: Werkbit Setup.dmg
- URL GitHub (mẫu tập lệnh shell): (Thông tin chi tiết cụ thể không được cung cấp trong văn bản gốc, nhưng được ngụ ý là có tồn tại)
- Cơ sở hạ tầng C2: (Thông tin chi tiết cụ thể không được cung cấp trong văn bản gốc, nhưng được ngụ ý là có tồn tại)
Các nhà nghiên cứu nhấn mạnh tầm quan trọng của việc cập nhật bản vá và giám sát hệ thống để phát hiện sớm các hoạt động bất thường, đặc biệt là trên các hệ điều hành như macOS, nơi các mối đe dọa ngày càng trở nên tinh vi. Để phòng ngừa các cuộc tấn công mạng, việc triển khai các giải pháp an ninh mạng mạnh mẽ là vô cùng cần thiết.
Để tăng cường khả năng phát hiện và điều tra mối đe dọa nhanh chóng, việc tích hợp các giải pháp an toàn thông tin vào Trung tâm Điều hành An ninh (SOC) là rất quan trọng. Tham khảo các giải pháp tích hợp tại ANY.RUN.










